KeePass：使用密钥文件还是常规密码？

我正在建立一个KeePass数据库，它提供了使用密钥文件的功能，它说比较安全，因为它可以使用更长，更复杂的密码，但更容易破解，因为您只需要打开密钥文件即可。数据库。我将仅在两台计算机（一台台式机和一台笔记本电脑）上使用密钥文件，哪一种是最佳选择？

请注意，对我来说使用密钥文件绝对更具吸引力，因为我很难记住任何接近随机密码的内容。

关于与KeePass一起使用' key files'的能力。

为了生成分组密码的256位密钥，使用了安全哈希算法SHA-256。该算法将用户提供的用户密钥（由密码和/或密钥文件组成）压缩为256位固定大小的密钥。这种转换是单向的，即，反转哈希函数或找到压缩为相同哈希的第二条消息在计算上是不可行的。

最近发现的针对SHA-1的攻击不会影响SHA-256的安全性。SHA-256 仍然被认为是非常安全的。

（还有另一个最近的更新，但是我认为这里不相关）。
就目前而言，

密钥派生：
如果仅使用密码（即不使用密钥文件），则使用SHA-256对密码加上128位随机盐进行哈希处理以形成最终密钥（但请注意，需要进行一些预处理：防止字典攻击）。随机盐可以防止基于预先计算的哈希的攻击。

当同时使用密码和密钥文件时，最终密钥的导出方式如下：SHA-256（SHA-256（密码），密钥文件内容），即主密码的哈希值与密钥文件字节和所得字节连接在一起再次使用SHA-256对字符串进行哈希处理。如果密钥文件不完全包含32个字节（256位），则它们也将使用SHA-256进行哈希处理，以形成256位密钥。然后，上面的公式将更改为：SHA-256（SHA-256（密码），SHA-256（密钥文件内容））。

如果您认为您的密码会更弱一些（并且对您的内存更好），
那么密钥文件是个不错的选择。
因此，请同时使用两者。

关键是要确保密码的安全，所以这很容易：密码。如果您使用密钥文件而失去对密码数据库的控制，则所有密码都将公开。

同时使用。将密钥文件保存在闪存驱动器中，并随身携带。但是在台式机上却不行（与在便笺上写密码相同）。我正在使用这种方式来加密HDD分区（使用truecrypt）。因此，如果仍然有人以某种方式获取您的密码，他们也需要密钥文件。

对于新手进行密码管理：
仅密码
为什么？
它将您对文件（错误）管理的关注减少了一半，并将其限制为一个文件。
可以使用混合的64个字符的密码来保护KeepassX .kdbx数据库。创建一个长而安全的密码的范围很大。
这有助于强调（头上的）（强）密码是您的主要重点（而不是保存密钥文件的位置等）。
如果您在记住密码时遇到麻烦（当然，我们所有人都这样做），请使用密码管理器（例如KeepassX），您只需要记住一个安全性高的密码即可。

我已选择使用密钥文件。我还创建了一个电子邮件帐户，专门用于存储我的密钥文件（例如，我不希望每次想访问我的电子银行帐户时都随身携带USB闪存）。

如果我使用的计算机不是我的个人计算机，则只需在要使用密钥文件的计算机上登录该电子邮件帐户，然后登录到另一个具有我的.kdbx最新版本的电子邮件帐户。文件。

最后，我下载KeePass并将其安装在PC上，使用密钥和.kdbx以及我的数据库密码，就是这样！

当然，我擦除了所用PC上的.kdbx和密钥文件。